Tabjacking/Tabnabbing: che cos'è?

Tabnabbing Tabjacking

L'umile scheda del browser è qualcosa che diamo per scontato al giorno d'oggi, e molti di noi probabilmente non hanno mai pensato a quale impatto abbia avuto sul modo di navigare in Internet. Il concetto è apparso per la prima volta in quello che ora è un browser poco conosciuto chiamato NetCaptor più di 20 anni fa, e sebbene l'adozione fosse inizialmente lenta, una volta che Opera e Firefox lo hanno introdotto nei primi anni 2000, Internet Explorer di Microsoft ha capito che non aveva altra opzione che seguire il pacchetto e le schede sono diventate la norma.

Al giorno d'oggi, ci danno la flessibilità di concentrarci su più compiti diversi allo stesso tempo. Grazie alle schede del browser, possiamo passare rapidamente da una pagina Web all'altra e possiamo trovare le risorse di cui abbiamo bisogno in pochi secondi. Le schede sono estremamente utili, ma possono anche essere un ottimo vettore di attacco.

Che cos'è il tabnabbing o il tabjacking?

Il concetto è stato discusso per la prima volta circa dieci anni fa quando i ricercatori della sicurezza hanno capito che una tecnica semplice ma intelligente poteva consentire ai criminali informatici di eseguire quello che è potenzialmente un attacco di phishing estremamente intelligente. Ecco lo scenario.

Diciamo che durante la giornata lavorativa, hai circa una dozzina di schede del browser che devono essere aperte tutto il tempo. Uno dei siti Web aperti in una scheda è stato precedentemente compromesso dagli hacker che hanno iniettato un pezzo di codice JavaScript. Mentre ti stai concentrando su un'altra scheda, il codice dannoso modifica silenziosamente il contenuto della scheda in cui è aperto e, invece del sito Web che hai caricato, visualizza una copia carbone dannosa della pagina di accesso di Gmail. A un certo punto, stai esaminando tutte le schede che hai aperto e noti il prompt di accesso. Pensando che Gmail ti abbia automaticamente disconnesso dal tuo account, inserisci nome utente e password, il codice JavaScript dannoso invia le credenziali ai truffatori e, per rendere le cose ancora più credibili, ti reindirizza al vero Gmail. Poiché non sei mai stato effettivamente disconnesso dal tuo account, è molto probabile che tu veda il contenuto della tua casella di posta e non sospetti nulla.

Come puoi vedere, è un attacco intelligente, ma con quale probabilità sei vittima di esso?

Tabnabbing sta lottando per guadagnare popolarità con i criminali informatici

Nel 2010, Brian Krebs ha discusso in dettaglio dell'attacco e ha spiegato quanti vantaggi ha rispetto agli strumenti più tradizionali o al commercio degli hacker. All'epoca, gli specialisti della sicurezza delle informazioni avevano già creato alcune pagine di prova del concetto, che mostravano come il tabnabbing potesse funzionare in natura. Da allora, abbiamo visto design ancora più raffinati che hanno superato alcune difficoltà tecniche. Sono stati tutti pubblicati da ricercatori della sicurezza, tuttavia, e sono stati tutti mostrati con l'idea di proteggere e educare gli utenti, senza danneggiarli.

Non abbiamo ancora visto alcun attacco tabnabbing su larga scala contro ignari utenti di Internet. Sembra che, almeno per il momento, i truffatori preferiscano usare schemi più tradizionali per rubare le credenziali delle persone. Non è facile giustificare questa decisione.

In effetti, tabnabbing comporta la compromissione di un sito Web e l'iniezione di codice in esso, il che lo rende più una sfida tecnica. Allo stesso tempo, tuttavia, il social engineering coinvolto nelle classiche campagne di phishing è assente in questo caso. Forse la maggior parte dei truffatori sono contenti dei risultati dei metodi collaudati e ritengono che l'innovazione aggiuntiva non valga la pena. Detto questo, non devi sottovalutare la minaccia.

Cosa puoi fare per proteggerti dal tabnabbing?

Ovviamente, un attacco tabnabbing può funzionare solo contro utenti che non hanno l'abitudine di chiudere le loro schede inattive. Sfortunatamente, per molte persone, usare meno schede è più facile a dirsi che a farsi. Tuttavia, una migliore gestione delle schede può sempre aiutare. Gli esperti consigliano di utilizzare più finestre del browser e di organizzare diversi set di attività in esse. Anche se non infallibile, potrebbe solo aiutarti a individuare qualcosa di sospetto.

Da un punto di vista tecnico, puoi provare a utilizzare un'estensione come No Script per bloccare qualsiasi codice potenzialmente dannoso dall'aggiornamento silenzioso di pagine e dal caricamento di moduli di accesso fasulli. Se lo lasci bloccare tutto il codice JavaScript, tuttavia, molti dei tuoi siti Web preferiti non funzioneranno correttamente e, per la maggior parte degli utenti, selezionare manualmente quali script devono essere arrestati è troppo difficile.

La cosa che può davvero salvarti è la tua attenzione ai dettagli. Come già accennato, un attacco tabnabbing si basa su un modulo di accesso falso e la cosa buona dei moduli di accesso falso è che non possono essere ospitati nel dominio che stanno cercando di impersonare. Se hai l'abitudine di ricontrollare la barra degli indirizzi del tuo browser prima di inserire nome utente e password, hai buone probabilità di proteggerti sia dal tabnabbing sia dal phishing più tradizionale.

April 3, 2020
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.